Ochrona danych osobowych

Czym są dane osobowe

Dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 31a ust. 1 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (t. j. Dz. U. z 2001 r. Nr 87, poz. 960 ze zm.) jest 11-cyfrowym, stałym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do komputerowej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

Ustawodawca formułując art. 6 ustawy o ochronie danych osobowych posłużył się klauzulą generalną. Tym samym nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, w większości przypadków, nieuniknione jest dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby.

Prawo do informacji

Każda osoba ma prawo do kontroli swoich danych osobowych, które może realizować m. in. poprzez żądanie informacji, odnośnie przetwarzania swoich danych.
Osoba, której dane dotyczą, może żądać - odnośnie przetwarzania jej danych osobowych - następujących informacji:
 

• czy zbiór istnieje,
• kto jest jego administratorem,
• od kiedy dane są przetwarzane,
• jakie jest źródło pozyskania danych,
• w jaki sposób dane są udostępniane,
• jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym (ale tylko w przypadku, gdy zostało ono podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, w innej bowiem sytuacji podjęcie takiego rozstrzygnięcia nie jest dopuszczalne),
• podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

Z żądaniem udzielenia powyższych informacji (wyłączając prawo ustalenia przesłanek, które przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym) osoba, której dane dotyczą, może skorzystać nie częściej niż raz na 6 miesięcy.

Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem.

Ustawa o ochronie danych osobowych nakłada na administratora obowiązek udzielenia, na wniosek osoby, której dane dotyczą, informacji o zasadach przetwarzania jej danych osobowych. W celu jej uzyskania osoba zainteresowana powinna wystąpić do administratora ze stosownym wnioskiem. Obowiązkiem administratora jest udzielenie informacji w terminie 30 dni. Informacja powinna być udzielona w zrozumiałej formie. Jeśli osoba o to wnioskuje, udziela się jej na piśmie.

Administrator obowiązany jest poinformować osobę zwracającą się do niego o przysługujących jej prawach oraz udzielić informacji - odnośnie przetwarzania jej danych osobowych -  czyli:

• czy zbiór istnieje,
• kto jest jego administratorem (poprzez określenie jego pełnej nazwy i adresu /siedziby/, a w przypadku, gdy administratorem danych jest osoba fizyczna - jej imienia i nazwiska oraz miejsca zamieszkania),
• od kiedy dane są przetwarzane,
• jakie jest źródło pozyskania danych (chyba, że w tym zakresie administrator musi zachować tajemnicę państwową, służbową lub zawodową),
• w jaki sposób dane są udostępniane (w szczególności administrator jest zobowiązany do poinformowania o odbiorcach lub kategoriach odbiorców danych),
• jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym,
• podania w powszechnie zrozumiałej formie treści przetwarzanych danych.

W szczególności, administrator danych jest obowiązany do wskazania w formie zrozumiałej:

• jakie dane osobowe zawiera zbiór,
• w jaki sposób zebrano dane,
• w jakim celu i zakresie dane są przetwarzane,
• w jakim zakresie oraz komu dane zostały udostępnione.

Administrator może odmówić udzielenia żądanych informacji wyłącznie wtedy, gdy spowodowałoby to:

• ujawnienie wiadomości stanowiących tajemnicę państwową,
• zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego,
• zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa,
• istotne naruszenie dóbr osobistych innych osób.

Ustawa przewiduje odpowiedzialność karną (karę grzywny, ograniczenia wolności lub pozbawienia wolności) za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach, lub nieprzekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie. W celu dochodzenia odpowiedzialności karnej konieczne jest skierowanie sprawy na drogę postępowania karnego, czyli do organów ścigania: Policji bądź prokuratury.

Jakie warunki musimy spełnić

Administrator danych, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi spełnić przynajmniej jeden z warunków decydujący o tym, że takie działanie jest legalne. Ponadto musi dopełnić obowiązku rejestracji zbioru w GIODO i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych

W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, a zwłaszcza z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych.

Z punktu widzenia przepisów o ochronie danych osobowych istotne jest przede wszystkim to, aby administrator danych osobowych, czyli podmiot decydujący o celach i środkach przetwarzania danych osobowych, przetwarzając dane:

• spełniał przynajmniej jeden warunek uprawniający go do wykonywania operacji na danych osobowych - w odniesieniu do danych zwykłych, jak np. imię, nazwisko czy adres zamieszkania określono je w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych, zaś w odniesieniu do danych szczególnie chronionych, takich jak np. dane o stanie zdrowia czy poglądach politycznych – w art. 27 ust. 1 ustawy. Spełnienie jednego z tych warunków stanowi o zgodnym z prawem przetwarzaniu danych osobowych, gdyż przesłanki te są równoprawne, a jednocześnie autonomiczne,
• dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych - obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) - zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam. Przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,
• stosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ustawy o ochronie danych osobowych),
• dopełnił obowiązku informacyjnego ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony – w przypadku zbierania danych bezpośrednio od osoby, której dotyczą, administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą, administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,
• dopełnił obowiązku dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ustawy o ochronie danych osobowych),
• respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.

Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność karną określoną w art. 49-52 ustawy o ochronie danych osobowych.

Kto musi rejestrować zbiory

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych.

Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych.

Administratorem w sferze niepublicznej jest co do zasady podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Osoby te mogą być bowiem pociągnięte do odpowiedzialności karnej za przestępstwa określone w rozdziale ósmym ustawy o ochronie danych osobowych, jeżeli ich działaniom naruszającym przepisy ustawy, podejmowanym w związku z reprezentowaniem administratora danych można przypisać winę. Ponadto należy wskazać, że administratorem danych przetwarzanych w jednostce organizacyjnej osoby prawnej (np. oddziale spółki) jest co do zasady dana osoba prawna, a nie jej jednostka organizacyjna (oddział spółki).